I modem 3G e 4G USB sono una minaccia per la sicurezza, dice il ricercatore

La stragrande maggioranza dei modem 3G e 4G USB distribuiti dagli operatori mobili ai loro clienti sono prodotti da una manciata di aziende e gestiscono software non sicuro, secondo due ricercatori della sicurezza russi.

I ricercatori Nikita Tarakanov e Oleg Kupreev hanno analizzato la sicurezza dei modem 3G / 4G USB ottenuti dagli operatori russi negli ultimi mesi. Le loro scoperte sono state presentate giovedì alla conferenza sulla sicurezza di Black Hat Europe 2013 ad Amsterdam.

La maggior parte dei modem 3G / 4G usati in Russia, Europa e probabilmente in altre parti del mondo, sono realizzati dai produttori cinesi di hardware Huawei e ZTE e sono marchiati con i loghi e i marchi dei gestori di telefonia mobile, ha dichiarato Tarakanov. Per questo motivo, anche se la ricerca è stata fatta principalmente su modem Huawei di operatori russi, i risultati dovrebbero essere rilevanti anche in altre parti del mondo.

[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]

Tarakanov ha dichiarato di non essere in grado di testare gli attacchi in banda base contro i chip Qualcomm trovati all'interno dei modem perché è illegale in Russia utilizzare la propria stazione base GSM se non si è un'agenzia di intelligence o un operatore di telecomunicazioni. "Probabilmente dovremo trasferirci in un altro paese per qualche mese per farlo", ha detto.

C'è ancora molto da indagare in termini di sicurezza dell'hardware. Ad esempio, il SoC (sistema su un chip) utilizzato in molti modem ha funzionalità Bluetooth che è disabilitato dal firmware, ma potrebbe essere possibile abilitarlo, ha detto il ricercatore.

Per ora, i ricercatori hanno testato il software precaricato sui modem e trovato diversi modi per attaccarlo o per usarlo negli attacchi.

Per uno, è facile fare un'immagine del file system del modem USB, modificarlo e scriverlo di nuovo sul modem. C'è uno strumento disponibile da Huawei per fare il backup e il ripristino del modem, ma ci sono anche strumenti gratuiti che supportano i modem di altri produttori, ha detto Tarakanov.

I malware in esecuzione sul computer potrebbero rilevare il modello e la versione del modem 3G attivo e potrebbero scrivere un'immagine con personalizzazioni malevole usando questi strumenti. Quel modem potrebbe quindi compromettere qualsiasi computer su cui è usato.

Il modem contiene il programma di installazione per un'applicazione che viene installata sul computer, così come i driver necessari per diversi sistemi operativi. L'applicazione consente all'utente di interrompere, avviare e gestire la connessione Internet stabilita tramite il modem.

I file di configurazione per l'applicazione installata, nonché quelli del programma di installazione dell'applicazione memorizzato sul modem, sono in testo normale e possono essere facilmente modificato. Un'impostazione nei file di configurazione definisce quali server DNS il modem dovrebbe utilizzare per la connessione Internet.

Un utente malintenzionato potrebbe modificare tali voci su server controllati dall'attaccante, ha detto Tarakanov. Ciò darebbe all'aggressore la possibilità di indirizzare gli utenti a siti Web canaglia quando cercano di visitare quelli legittimi usando la connessione modem.

Mentre il programma di installazione dell'applicazione stesso non può essere modificato direttamente per caricare malware perché è un eseguibile firmato, ci sono alcune voci nel suo file di configurazione che possono essere utilizzate a questo scopo.

Ad esempio, molti file di configurazione avevano percorsi per gli installatori antivirus e un'opzione se installare o meno tali programmi, ha detto Tarakanov. Il ricercatore ha dichiarato di non aver mai trovato un programma di installazione antivirus fornito con i modem USB da lui testati, ma la funzione era presente.

Un utente malintenzionato potrebbe creare un'immagine personalizzata con un file di configurazione modificato che abilita questa funzione e installa un file dannoso memorizzato su il modem invece di un programma antivirus. Se l'immagine è scritta su un modem USB, ogni volta che l'utente installerà l'applicazione modem, verrà installato anche il malware, ha detto Tarakanov.

I ricercatori hanno anche trovato un possibile vettore di attacco di massa. Una volta installato su un computer, l'applicazione modem, almeno quella di Huawei, controlla periodicamente gli aggiornamenti da un singolo server, ha detto Tarakanov. Software etichettato per un operatore specifico che cerca gli aggiornamenti in una directory del server specifica per quell'operatore.

Un utente malintenzionato che riesce a compromettere questo server di aggiornamento può lanciare attacchi di massa contro gli utenti di molti operatori, ha detto Tarakanov. I modem Huawei 3G di diversi operatori russi hanno utilizzato lo stesso server, ma potrebbero esserci altri server di aggiornamento per altri paesi, ha detto.

Tarakanov ha dichiarato di non cercare vulnerabilità nei driver del modem installati nel sistema operativo, ma si aspetta che abbiano delle vulnerabilità. La maggior parte dei driver di terze parti in generale ha vulnerabilità, ha detto.

Tarakanov è specializzato nella scrittura degli exploit e nella ricerca di vulnerabilità nei driver in modalità kernel di Windows. Tuttavia, Oleg Kupreev era il leader di questo particolare progetto di ricerca riguardante i modem 3G / 4G.

La ricerca in quest'area è solo all'inizio e c'è ancora molto da investigare, ha detto Tarakanov. Qualcuno deve farlo perché molti nuovi laptop sono dotati di modem 3G / 4G direttamente integrati e le persone dovrebbero sapere se sono una minaccia per la sicurezza.